robertkahl Opublikowano 20 Września 2012 Zgłoś Udostępnij Opublikowano 20 Września 2012 Mam problemy z wirusem policja niemiecki, proszę o pomoc!!!! OTL.TxtPobieranie informacji ... Extras.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Września 2012 Zgłoś Udostępnij Opublikowano 20 Września 2012 Zasady działu: KLIK. Tu jest zakaz dopisywania się do cudzych tematów. Twój post został wydzielony w nowy temat. Nie wygląda na to, że logi zostały zrobione z poziomu właściwego konta. Logi zrobione z poziomu Trybu normalnego (czyli nie było blokady w momencie ich tworzenia), a w logach tylko jeden wpis startowy. Ów wpis kieruje na folder C:\Users\ROBERT1, ale zalogowane konto to Malinka. Konta mają inne rejestry i foldery, logi muszą być zrobione z poziomu konta zainfekowanego. Aktualnie mogę wyczyścić tylko to co widzę (i to nie wszystko co zapewne utworzyła infekcja, ale to można ujrzeć tylko będąc zalogowanym na właściwym koncie). 1. Z poziomu konta Malinka uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKLM\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=15627" O2:64bit: - BHO: (no name) - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - No CLSID value found. O4 - HKLM..\Run: [update] C:\Users\ROBERT1\AppData\Roaming\system\winlogon.exe () O4 - HKCU..\Run: [LG LinkAir] File not found :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zaloguj się na konto Robert i zrób nowy log OTL z opcji Skanuj (już bez Extras). . Odnośnik do komentarza
robertkahl Opublikowano 20 Września 2012 Autor Zgłoś Udostępnij Opublikowano 20 Września 2012 Wielkie dzięki za pomoc. Zrobiłem jak kazałeś: OTL2.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Września 2012 Zgłoś Udostępnij Opublikowano 20 Września 2012 Apropos kazałeś = jestem kobietą. Nowy log = jak mówiłam, mamy tu co czyścić, bo jest teraz zalogowane właściwe konto i widać więcej. Oczywiście akcja z poziomu konta ROBERT1: 1. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL IE - HKCU\..\SearchScopes\{6BD63EF5-F376-4104-B390-F6E1E3BEDAAC}: "URL" = "http://startsear.ch/?q={searchTerms}" O4 - HKCU..\Run: [update] C:\Users\ROBERT1\AppData\Roaming\system\winlogon.exe File not found [2012-09-20 15:50:19 | 000,000,000 | -HSD | C] -- C:\Users\ROBERT1\AppData\Roaming\System [2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Ywzali [2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Xeti [2012-09-13 16:14:27 | 000,000,000 | ---D | C] -- C:\Users\ROBERT1\AppData\Roaming\Gipy [2012-09-20 15:50:26 | 000,291,912 | -HS- | M] () -- C:\Users\ROBERT1\AppData\Roaming\rt1.png :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}" :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. System zostanie zrestartowany. 2. Zrób nowy log OTL z opcji Skanuj (bez Extras). . Odnośnik do komentarza
robertkahl Opublikowano 20 Września 2012 Autor Zgłoś Udostępnij Opublikowano 20 Września 2012 Przepraszam!! Jak kazałaś: OTL3.TxtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 20 Września 2012 Zgłoś Udostępnij Opublikowano 20 Września 2012 Zadania pomyślnie wykonane. Kolejna porcja zadań: 1. W OTL uruchom Sprzątanie, które skasuje z dysku OTL wraz z kwarantanną oraz szczątki nieprawidłowo usuniętego ComboFix. 2. Wyczyść foldery Przywracania systemu: KLIK. 3. Wykonaj skanowanie w Malwarebytes Anti-Malware. Zaprezentuj raport z ewentualnymi zagrożeniami. Od razu mówię, wykryje poniższe (to ... ekhm ... crack do Office): [2011-06-29 14:31:35 | 000,151,552 | ---- | C] () -- C:\Windows\KMService.exe[2011-06-29 14:31:35 | 000,008,192 | ---- | C] () -- C:\Windows\SysWow64\srvany.exe . Odnośnik do komentarza
robertkahl Opublikowano 20 Września 2012 Autor Zgłoś Udostępnij Opublikowano 20 Września 2012 Wielkie dzięk!!! Trwa skanowanie Malwarebytes Anti-Malware Nie będę dostępny do poniedziałku. mbam-log-2012-09-20 (23-56-08).txtPobieranie informacji ... Odnośnik do komentarza
picasso Opublikowano 22 Września 2012 Zgłoś Udostępnij Opublikowano 22 Września 2012 Dziękuję za kwiatek. 1. Wyniki MBAM: nic szczególnego, cracki oraz adware (SoftonicDownloader..., FLVPlayerSetup.exe). Ostrzegałam Cię, że KMService zostanie wykryty, jednak usunąłeś to. Przy okazji: pominęłam pozycję vShare.tv plugin 1.2 na Twojej liście zainstalowanych. Usuń to, te wtyczki vShare / LiveVDO to siedlisko adware. 2. Na zakończenie zaktualizuj wyliczone poniżej aplikacje: KLIK. Tu z Twojego loga wersje zanotowane w Twoim systemie aktualnie: ========== HKEY_LOCAL_MACHINE Uninstall List ========== [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]"{26A24AE4-039D-4CA4-87B4-2F83216020FF}" = Java 6 Update 20"{89F4137D-6C26-4A84-BDB8-2E5A4BB71E00}" = Microsoft Silverlight"Adobe Flash Player ActiveX" = Adobe Flash Player 11 ActiveX (wtyczka dla IE)"Adobe Flash Player Plugin" = Adobe Flash Player 11 Plugin (wtyczka dla Opera/Firefox)"Opera 12.01.1532" = Opera 12.01 FF - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_4_402_265.dll ()FF - HKLM\Software\MozillaPlugins\@Microsoft.com/NpCtrl,version=1.0: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrl.dll ( Microsoft Corporation) . Odnośnik do komentarza
Rekomendowane odpowiedzi